资讯专栏INFORMATION COLUMN

超三分之一外部攻击通过利用漏洞进行 第三方软件风险显著增加

oneasp / 1039人阅读

摘要:根据对个安全决策的调查,超过三分之一的外部攻击是通过利用漏洞进行的,而另外三分之一来自对第三方服务或软件制造商提供的软件漏洞进行破坏。

当前,应用软件大多数基于开源的框架,开源框架的源代码、叠加的自研源代码。都需要进行安全漏洞测试。企业的软件开发比以往任何时候都更加依赖开源项目,也因此需要管理组件和第三方供应商中的漏洞带来的风险。

FORRESTER安全与风险会议分析师在Forrester安全与风险2021会议上建议,公司需要采取措施将供应链中第三方软件带来的风险降至最低。在过去几年里,供应链攻击已显著增长。

开源软件漏洞引发安全问题

随着外部攻击越来越多地通过第三方软件中的漏洞(例如开源项目或第三方供应商的漏洞)引发担忧。

根据Forrester对530个安全决策的调查,超过三分之一 (35%) 的外部攻击是通过利用漏洞进行的,而另外三分之一 (33%) 来自对第三方服务或软件制造商提供的软件漏洞进行破坏。由此可见,在软件开发期间加强对代码中安全漏洞的检测及修复,可以大大有效避免漏洞利用引起的网络攻击。

Forrester高级分析师Alla Valente表示,如果公司不采取措施解决这个问题,第三方风险的增长可能会破坏企业应用程序的安全性。

她表示,我们面临很多第三方风险,而且还在不断升级。部分原因是当前第三方的数量比以往任何时候都多。

安全法规促使企业重视软件安全

随着全球不同国家政府机构开始起草安全软件指南,这个问题将在2022年变得更加重要。

例如,拜登政府在5月签署了一项行政命令,要求国家标准与技术研究所(NIST)为联邦承包商起草指导方针,以更好地保护软件安全。这些指导方针包括为政府的产品提供软件材料清单,并证明开发人员构建环境的安全性。NIST已经制定了保护物联网设备和软件安全的指导原则草案。

我国的《关键基础设施保护条例》、《数据安全法》、等保2.0等政策也明确表示了在软件安全、数据安全等各个方面企业应准备的工作和承担的相应责任。

开源软件包漏洞难确定

“大多数开发人员只是连接到一个存储库,然后下载他们正在使用的任何软件包的最新软件版本,但这些软件包是否存在漏洞,或者每个人是否都在使用相同的版本?” Forrester首席分析师Condo表示,如果不关注此类问题,公司只是在推迟安全问题。

开源软件的不一致性质仍然是一个关键问题。虽然主要的软件包通常管理良好,但许多企业最终使用的包(通常是通过更常见的组件的依赖关系)管理得不太好,可能存在漏洞。

尽管开源软件项目平均修复漏洞的时间显着下降(从2011年的371天下降到2021年的28天),但主要生态系统托管的软件包数量显着增长,根据软件安全公司Sonatype发布的一份报告,去年增长了20%。

Condo表示,公司需要深入研究在软件开发中所依赖的软件包,并确定它们是否构成安全问题。他说:“了解你真正依赖的是什么真的很重要。哪里是最薄弱的环节,这些问题会在哪里出现,我们应该使用专有包或策划好的东西。”

AI/ML因素

随着越来越多的企业追求基于人工智能和机器学习(AI/ML)的分析,他们也面临着类似的问题。AI/ML代表了开源问题的一个特定方面,因为开源项目中编码了大量的算法。分析师Valente表示,企业应确定这些组件是否对其业务构成风险。

“组织正在利用人工智能和机器学习,问题不在于他们是否会使用人工智能和机器学习,而是他们是否会购买或构建它,”Valent表示。“如果他们打算购买ML或AI模型,在很多情况下它是开源的,甚至商业软件也有75%到90%是开源的。”

提前发现问题降低成本

企业需要在软件开发的早期关注安全问题。Condo表示,确定开源依赖项带来安全问题并将其排除在外,比试图在部署后关闭软件中发现的安全问题要便宜得多。

同样要注意的是,在自研代码中存在的安全漏洞一样需要及时检测静态代码安全和修正缺陷。数据显示,在软件测试、发布阶段纠正缺陷的成本是编码阶段发现并纠正缺陷的成本的15-90倍,如果在交付用户之后才发现并解决缺陷,这个数字将达到50-200倍。因此,在编码实现阶段发现并解决尽可能多的缺陷,能够极大降低缺陷管理成本,据相关统计数字估计,这个成本至少可以降低1/3。

Condo表示,在软件开发初期不够关注静态代码及开源组件的安全,就会制造更多的技术债务和安全问题,将不得不以更昂贵的方式处理下游问题。安全应该成为整个软件开发链的一部分,诸如如何更安全的开发软件、保护API安全和数据安全,并建立安全相应机制。

参读链接:

www.darkreading.com/application…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/123750.html

相关文章

  • 《阿里聚安全2016年报》

    摘要:每天新增近个新移动病毒样本,每秒生成个阿里聚安全移动病毒样本库年新增病毒样本达个,平均每天新增个样本,这相当于每秒生成一个病毒样本。阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。 《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全...

    2json 评论0 收藏0
  • 利用App漏洞获利2800多万元,企业该如何避免类似事件?

    摘要:上个月,上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙,该团伙利用银行漏洞非法获利多万元。目前,警方已将方某某邓某某等名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复。 上个月,上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙,该团伙利用银行App漏洞非法获利2800多万元。 据悉,该团伙使用技术软件成倍放大定期存单金额,从而非法获利。理财邦的一篇文章分析了犯罪嫌...

    tylin 评论0 收藏0
  • EHR供应商披露安全问题 警示医疗系统软件安全风险

    摘要:报告患者门户被黑,飞利浦揭示安全漏洞,医疗系统软件安全风险不断暴露。与此同时,在一个单独的开发中,医疗技术供应商飞利浦医疗保健和网络安全和基础设施安全机构周四各自发布了关于飞利浦电子医疗记录系统版本及之前中发现的两个漏洞的安全警告。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-...

    zhjx922 评论0 收藏0
  • Gartner 未来七大安全预测

    摘要:研究主管罗布麦克米兰在年在国家港举行的安全与风险管理峰会上展示了安全预测。到年,基于机器学习的智能机器将进行的渗透测试,而在年这一比例为。然而,机器学习已经发展到现实生活中。到年,至少一项重大安全事故将由安全故障引起,造成重大伤害。自动化和人工智能(AI)为数字业务提供了无限的可能性,但它们也带来了复杂性。2017年的Gartner安全预测突出了潜在的商业利益,比如更快、更好的渗透测试。但是...

    shengguo 评论0 收藏0
  • 随着云应用的增长,企业如何利用云计算使业务成长?

    摘要:事实上,云计算应用的快速增长正在彻底改变全球市场和基础设施的发展趋势。在调查中,只有的受访者认为自己最终对云计算服务中存储的数据的合规性负责。云计算服务提供商的服务级别协议不包括数据保护。如今,只要人们了解一下云计算市场,可以看到其发展非常健康。事实上,云计算应用的快速增长正在彻底改变全球市场和IT基础设施的发展趋势。云计算正在改变人们在企业所有职能上的工作方式。从公司办公室到工厂车间,从分...

    TalkingData 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<